DLP

«Ачим Девелопмент» и занимается добычей природного газа и нестабильного газового конденсата. По роду своей деятельности компания оперирует различной строго конфиденциальной информацией: данными о разработке нефтегазоконденсатных месторождений, сведениями о контрактах на поставку газа, деталями финансовых расчетов с контрагентами по поставкам и другой чувствительной информацией. Для ее надежной защиты «Ачим Девелопмент» выбрал DLP-систему разработки «РТК-Солар».

Внедряя систему защиты от утечек, компания стремилась защитить от утечек через технические каналы связи информацию, модификация, утрата либо раскрытие которой может привести к нарушению хода реализации бизнес-процессов. Кроме того, было необходимо контролировать действия пользователей на рабочих станциях. Главным фактором при выборе инструмента для решения этих задач стало удобство и простота использования продукта Solar Dozor.

«Эмбамунайгаз» — активно развивающаяся нефтяная компания Казахстана. В процессе деятельности создается и используется множество документов, содержащих строго конфиденциальную информацию: проектно-сметная документация, служебные записки, протоколы встреч, приказы, внутренняя нормативная документация, финансовые и бухгалтерские документы, базы персональных данных сотрудников.

Перед компанией стояла задача взять под контроль весь массив чувствительных данных, не допустить утечек информации по всем каналам ее возможного распространения. Эта задача была успешно решена с помощью внедрения DLP-системы Solar Dozor.

В рамках проекта был реализован контроль коммуникаций сотрудников через корпоративные почтовые системы, перехват и анализ сетевого трафика, контроль действий пользователей на рабочих станциях, проверка содержимого файловых хранилищ, а также ведение расширенного досье сотрудников для анализа и расследования инцидентов информационной безопасности.

В рамках пилотного проекта, в задачи которого входило развертывание выбранных модулей DLP-системы, была спроектирована и внедрена инсталляция Solar Dozor, в которую вошел базовый модуль Dozor Core для мониторинга, анализа и архивирования сообщений, а также модули-перехватчики Dozor Mail Server Connector для контроля коммуникаций через корпоративные почтовые системы, Dozor Endpoint Agent для контроля рабочих станций, Dozor Traffic Analyzer для перехвата и распознавания сетевого трафика и Dozor File Crawler для инспектирования файловых хранилищ. В качестве модулей расширения были выбраны Dozor Dossier для анализа поведения пользователей и выявления аномалий, Dozor OCR для распознавания текста в графических данных и Dozor Long-Term Archive для долгосрочного хранения архива.

После завершения пилотного внедрения систему вывели в режим эксплуатации. Как отмечает начальник отдела информационной безопасности «Юнипро» Виктор Пенский, миграция на новую систему позволила сократить время работы над расследованием инцидентов более чем на 50%. В рамках проекта была произведена операция по переносу данных из старой системы, имевшей свою структуру данных. Объем перенесенных данных превысил 16 Тбайт, при этом простои в сборе и анализе событий отсутствовали.

В конце 2020 года в «Юнипро» было принято решение масштабировать Solar Dozor на все пять филиалов компании, внедрив еще один модуль — MultiDozor. Сотрудники службы безопасности теперь смогут видеть полную картину событий и процессов в целом в режиме реального времени. Система позволит, с одной стороны, централизованно управлять DLP, а с другой — гибко настраивать правила для отдельных филиалов. После развертывания MultiDozor она будет контролировать более чем 2,3 тыс. рабочих станций.

По статистике экспертно-аналитического центра InfoWatch, в 2019 году из организаций финансового сегмента утекло более 1 млрд записей, содержащих персональные данные и платежные сведения клиентов. Подавляющее большинство утечек происходит по причине недостаточного контроля конфиденциальной информации, а также в связи с неисполнением правил работы с охраняемыми данными. Характер утечек в сфере финансов сильно зависит от используемых организациями технических средств.

Как отмечает Ольга Казанская, председатель правления банка «Оранжевый», банк является одним из ведущих поставщиков банковских услуг в Северо-Западном регионе, поэтому для него важно повышение эффективности работы и инвестиционная привлекательность. Руководство банка должно быть полностью уверено в том, что данные о клиентах надежно защищены. С внедрением решений InfoWatch, служба безопасности имеет эффективный инструмент для мониторинга всех информационных потоков в организации и контролирует порядок обращения с конфиденциальной информацией сотрудниками банка, включая персональные данные.

В компании отмечают, что решающими факторами стали технические характеристики программы и ее аналитические возможности. Систему можно развернуть на ИТ-инфраструктуре большого размера, она позволяет получать исчерпывающую информацию для расследования и предотвращения инцидентов, удобна в работе.

Как отмечает Алексей Борисов, старший специалист по информационной безопасности дирекции по экономике и финансам АО «Управляющая компания Автокомпонент», системы тестировали системы в течение месяца, разворачивали их на большом количестве машин и максимально нагружали, чтобы увидеть, как они показывают себя на ПК разной мощности и с различными операционными системами. Программы показали разный результат, тестирование некоторых DLP-систем пришлось прекратить досрочно, так как они перегружали сервера и рабочие места пользователей, что тормозило бизнес-процессы.

В выборе DLP-системы специалисты «Автокомпонента» исходили из нескольких задач. Главная – защита конфиденциальной информации от утечек: ноу-хау, графиков отгрузки, условий ценообразования и др. На первом этапе компания внедрила модули контроля активности пользователей за компьютерами. Помимо выявления опасных или ошибочных действий сотрудников, применение системы позволит увидеть, как распределяется нагрузка по коллективу, эффективно ли расходуется фонд оплаты труда.

Резкое увеличение объема потерянной чувствительной информации произошло в результате 20 мегаутечек (более 10 млн записей), на которые пришлось 98% пострадавших записей персональных и финансовых данных. В распределении утечек по типам данных на 20% увеличилась доля платежной информации и симметрично сократилась доля персональных данных.

Причиной 58% утечек в мире стали внутренние нарушители. Существенно возросло среднее число пострадавших записей.

Доля утечек данных с неправомерным доступом к информации, включая злоупотребление правами доступа и внутренний шпионаж, составила менее 8% от общего числа случаев. Неквалифицированные утечки, которые не сопряжены с превышением прав доступа и использованием данных в целях мошенничества, были зафиксированы в 84% случаев.

В первом полугодии 2017 года увеличилась доля утечек через сетевой канал и электронную почту. При этом большая часть утечек наиболее «ликвидной» платежной информации пришлась на эти два канала — в 45% случаев финансовые данные передавались в сеть Интернет через браузер или облачное хранилище, еще 44% таких утечек произошли с использованием корпоративной электронной почты.

Как отмечают аналитики, с развитием цифровой экономики вопросы информационной безопасности переросли отраслевые рамки, и широко обсуждаются на самом высоком уровне. Сама тема утечек информации становится все более прозрачной, и это должно позитивно сказаться на общем уровне культуры информационной безопасности. Даже в России пострадавшие организации начинают рассчитывать ущерб, который был нанесен им в результате той или иной утечки.

20% респондентов скопировали рабочие материалы, базы клиентов, отчеты, планы и другие документы, чтобы впоследствии использовать их на новой работе или перепродать. Около 5% участников опроса признались, что им доводилось уничтожать документы, переписку или программное обеспечение работодателя при увольнении.

2% опрошенных после ухода из компании публиковали конфиденциальную информацию в Интернете или офлайн, чтобы отомстить бывшему работодателю. Еще 7% респондентов активно пользовались недоработками ИТ-специалистов с прошлого места работы – они заходили на корпоративные ресурсы или рабочую почту удаленно.

На протяжении нескольких лет для защиты от утечек информации банк использовал «Дозор-Джет». Когда возможности решения перестали отвечать растущим потребностям РСХБ, было принято решение о качественном обновлении DLP-системы. Помимо функциональности, уже имеющейся в существующем решении, банку требовалось, чтобы новая система позволяла максимально быстро и эффективно проводить расследования инцидентов ИБ.

По словам Геннадия Лаврешина, начальника управления информационной безопасности «Россельхозбанка», проблема состоит в том, что большинство DLP-систем либо хранят информацию о действиях сотрудников за слишком короткий период, либо осуществляют поиск по архиву очень долго. С учетом того, как часто офицеру безопасности необходимо найти какую-либо информацию, на это может уходить до двух часов в день. Для РСХБ была крайне важна оперативность проведения расследований.

Чтобы бороться с внутренними нарушениями, в Solar Dozor реализован широкий набор специализированных инструментов, в числе которых полный архив коммуникаций сотрудников. Он обеспечивает хранение больших объемов информации о действиях пользователей, и при этом поиск по архиву с целью сбора доказательств по нарушениям остается очень быстрым. Например, скорость поиска на десятках терабайт данных составляет менее секунды.

Компания ежедневно обрабатывает большие объемы персональных и платежных данных, поэтому ключевой задачей, стоявшей перед ней, была защита конфиденциальной информации от утечек. Ввиду высокой чувствительности защищаемых данных «Таможенная карта» предъявляла высокие требования к рассматриваемым DLP-решениям. В первую очередь, от решения требовались широкий набор механизмов анализа и контролируемых каналов передачи данных, модульность и гибкая система лицензирования, а также строго отечественное происхождение.

Как отметил Сергей Горчаков, директор по ИБ компании «Таможенная карта», для компании очень важным стало то, с какой легкостью аналитические инструменты Solar Dozor обеспечивают своевременное обнаружение и расследование утечек информации. Кроме того, решение «на лету» анализирует содержимое документов и блокирует передачу данных в случае, если она запрещена политиками информационной безопасности. Это позволяет надежно защитить данные клиентов и партнеров.

В ходе пилотного проекта были выявлены проблемные места взаимодействия продукта и инфраструктуры компании. Специалисты Solar Security провели необходимые работы по адаптации, и в результате непосредственно внедрение продукта заняло всего несколько дней.